Leitfaden zur Passwortstärke-Analyse: Bewerten und Erstellen sicherer Passwörter

Kodierung

Drei Dimensionen der Passwortstärke

Die Sicherheit eines Passworts wird durch drei Kern-Dimensionen bestimmt:

1. Länge

Die Länge ist der wichtigste Faktor. Jedes zusätzliche Zeichen multipliziert die Brute-Force-Versuche mit der Zeichensatzgröße.

Länge Nur-Ziffern-Kombinationen Knackzeit (1Mrd./Sek)
4 10.000 Sofort
6 1.000.000 0,001 Sek
8 100.000.000 0,1 Sek
12 1 Billion 17 Min
16 10 Billiarden 50 Jahre
20 100 Trillionen 30.000 Jahre

2. Zeichensatzgröße

Ein größerer Zeichensatz bedeutet mehr Kombinationen pro Zeichen:

Zeichensatz Verfügbare Zeichen Beispiel
Nur Ziffern 10 0-9
Kleinbuchstaben 26 a-z
Groß + Klein 52 a-z, A-Z
Groß + Klein + Ziffern 62 a-z, A-Z, 0-9
Voller Zeichensatz 95 a-z, A-Z, 0-9, !@#$%...

3. Entropie

Die Entropie misst die Zufälligkeit des Passworts mathematisch:

Entropie (Bits) = log₂(zeichensatz_größe ^ länge) = länge × log₂(zeichensatz_größe)
Passwort Zeichensatz Länge Entropie Bewertung
123456 Ziffern 6 19,9 Bit Sehr schwach
abc123 Klein+Ziffern 6 31,0 Bit Schwach
Abc123 Gemischt+Ziffern 6 35,7 Bit Schwach
Kx9#mP2v Voll 8 52,6 Bit Mittel
Kx9#mP2vLq5! Voll 12 78,9 Bit Stark
Kx9#mP2vLq5!nR8@ Voll 16 105,2 Bit Sehr stark

Industriestandard: Entropie ≥ 80 Bit ist stark, ≥ 100 Bit ist sehr stark.


Gängige Angriffsmethoden

Brute Force

Alle möglichen Kombinationen ausprobieren. Verteidigung:

  • Länge und Zeichensatz erhöhen
  • Kontosperrung und Ratenbegrenzung verwenden

Wörterbuchangriff

Häufige Passwörter aus Wörterbüchern ausprobieren (z.B. rockyou.txt mit 14M Einträgen). Verteidigung:

  • Häufige Passwörter vermeiden (123456, password, qwerty)
  • Wörterbuchwörter vermeiden (sunshine, iloveyou)

Rainbow-Table-Angriff

Vorab berechnete Hash-Tabellen zur Rückwärtssuche von Passwörtern. Verteidigung:

  • Serverseitiges Salted Hashing (Salt + Hash)
  • Langsame Hash-Algorithmen wie Bcrypt verwenden

Credential Stuffing

Leaked Zugangsdaten von einer Seite verwenden, um sich bei anderen anzumelden. Verteidigung:

  • Einzigartiges Passwort pro Seite
  • Passwort-Manager verwenden

Das Passwortstärke-Tool verwenden

Schritt 1: Tool öffnen

Öffnen Sie Passwortstärke, geben Sie das zu testende Passwort ein.

Schritt 2: Ergebnisse prüfen

Das Tool zeigt in Echtzeit:

  • Stärkebewertung: Sehr schwach / Schwach / Mittel / Stark / Sehr stark
  • Entropie: In Bits
  • Zeichensatzanalyse: Welche Zeichentypen verwendet werden
  • Geschätzte Knackzeit: Basierend auf verschiedenen Angriffsgeschwindigkeiten
  • Verbesserungsvorschläge: Wie man das Passwort stärkt

Schritt 3: Verbessern

Wenn die Bewertung zu niedrig ist:

  • Länge erhöhen (am effektivsten)
  • Fehlende Zeichentypen hinzufügen
  • Sequenzielle und wiederholte Muster vermeiden

Den Passwort-Generator verwenden

Starke Passwörter manuell zu erstellen ist schwierig. Verwenden Sie stattdessen den Passwort-Generator:

Schritt 1: Konfigurieren

  • Länge: 16-24 Zeichen empfohlen
  • Zeichensatz: Groß-, Kleinbuchstaben, Ziffern, Symbole aktivieren
  • Mehrdeutige Zeichen ausschließen: Wie 0/O, 1/l/I

Schritt 2: Generieren

Klicken Sie auf „Generieren" — erzeugen Sie mehrere Passwörter zur Auswahl.

Schritt 3: Verifizieren

Fügen Sie das generierte Passwort in Passwortstärke ein, um zu bestätigen, dass es „Stark" oder „Sehr stark" erreicht.


Best Practices für Passwortsicherheit

1. Passwort-Manager verwenden

  • Einzigartige zufällige Passwörter für jede Seite generieren
  • Nur ein Master-Passwort merken
  • Empfohlen: Bitwarden, 1Password, KeePass

2. Zwei-Faktor-Authentifizierung (2FA) aktivieren

Selbst wenn das Passwort geleakt wird, blockiert 2FA unbefugten Zugriff. TOTP gegenüber SMS-Verifizierung bevorzugen.

3. Regelmäßig auf Leaks prüfen

Nutzen Sie Dienste wie Have I Been Pwned, um zu prüfen, ob Ihre E-Mail in Datenlecks auftaucht.

4. Serverseitig: Bcrypt verwenden

Wenn Sie Entwickler sind, hashen Sie Passwörter immer mit Bcrypt (gesalzen) vor der Speicherung. Speichern Sie niemals Klartext-Passwörter.


Häufige Missverständnisse

„Komplexe Regeln = starkes Passwort"

Viele Seiten erfordern Groß+Klein+Ziffer+Symbol, aber P@ssw0rd erfüllt alle Regeln und wird dennoch von Wörterbuchangriffen trivial geknackt. Länge ist wichtiger als Komplexitätsregeln.

„Buchstaben durch Symbole zu ersetzen ist sicher"

p@$$w0rd-Substitutionsmuster sind bereits von Angriffstools abgedeckt. Verlassen Sie sich nicht auf einfache Zeichenersetzung.

„Mein Passwort nie zu ändern ist in Ordnung"

Wenn Ihr Passwort geleakt wurde, bedeutet Nicht-Ändern, dass Sie weiterhin exponiert sind. Prüfen Sie regelmäßig auf Leaks und ändern Sie es sofort bei Kompromittierung.

„Stärke-Prüfer lecken mein Passwort"

Die Passwortstärke von ToolsKu läuft vollständig in Ihrem Browser. Ihr Passwort wird niemals an einen Server gesendet.


Verwandte Tools


Zusammenfassung

Der Kern der Passwortsicherheit ist ausreichende Entropie, bestimmt durch Länge und Zeichensatzgröße. Verwenden Sie Passwortstärke zur Bewertung vorhandener Passwörter, den Passwort-Generator zum Erstellen starker Passwörter, und kombinieren Sie dies mit einem Passwort-Manager und 2FA für vollständige Kontosicherheit. Denken Sie daran: Länge zuerst, einzigartig pro Seite, lokale Verarbeitung, serverseitiges Salting.

#密码强度#安全##字典攻击#暴力破解